こんにちは。フィンランドに本社を置くサイバーセキュリティ企業、エフセキュアのサイバーセキュリティ技術本部でシニアセールスエンジニアを務める、落合一晴です。広く知られた「ハッカー」という言葉。本来は「コンピュータ、プログラミング、ネットワークに関する深い知識を持つ人」を指しているのですが、世間一般では「悪意を持った攻撃者」の代名詞として広まってしまっています。

われわれは後者を「ブラックハットハッカー」、そして彼らから人々を守る役割を果たす人を「ホワイトハットハッカー(倫理ハッカー)」と区別しています。スター・ウォーズのシスとジェダイのようなものです。

本稿では、ホワイトハットハッカーの認定資格である「CEH = Certified Ethical Hacker (認定倫理ハッカー)」の意義、そして実際にこの資格を取得している筆者の体験に基づいて、取得までの道のりについて解説していきます。まずは、ハッカーの種類について説明していきます。

ハッカーの種類

ハッカーは大まかに、以下の3つのタイプに分類できます。

  • ブラックハットハッカー
    「ブラックハット」は、悪者が黒い帽子をかぶり、善人が白い帽子をかぶった西洋映画が由来と言われています。彼らは、システムに侵入し、情報を盗み、データを操作し、セキュリティを侵害する悪意のあるハッカーです。彼らの行動の主な動機は、金銭的利益(クレジットカードや個人情報の盗難)、政治的関心(ウェブサイトの改ざん、情報を操作するボットの作成)です。彼らの攻撃は、単純なマルウェアの拡散から、脆弱性の悪用やデータ盗難、身代金目的のランサムウェアの作成など、さまざまです。

  • ホワイトハットハッカー
    ホワイトハットハッカーは「倫理的ハッカー (Ethical Hacker)」 とも呼ばれてます。ホワイトハットハッカーはブラックハットハッカーから機密情報を保護するために企業・政府などに採用されるハッカーです。例えば、ホワイトハットハッカーの一般的な仕事は、システムに侵入して欠陥や脆弱性の有無を診断する、ペネトレーションテスターです。そのほか、同様の役割として「脆弱性診断士」「セキュリティアナリスト」「セキュリティコンサルタント」とも呼ばれます。

  • グレーハットハッカー
    グレーハットハッカーは、ブラックハットとホワイトハットの両方の属性を組み合わせたものです。多くの場合、グレーハットハッカーは、許可を得ずシステムやソフトウェアの脆弱性を探します。問題が見つかった場合、彼らは所有者に報告し、時には問題を修正するために手数料を要求します。これらの要求が受け入れられない場合、グレーハットハッカーは、発見したエクスプロイトを勝手に世界中に公開することがあります。

フィンランドの本社のセキュリティコンサルタントの1人は「学生時代に一緒にホワイトハットハッカーとして活動していた仲間の一人が、ダークサイドに堕ちてブラックハットハッカーになってしまった」と話してくれましたが、ホワイトからブラックに転向したり、腕を買われてブラックからホワイトに落ち着くことはあるようです。

なお、そのコンサルタントに「あなたはなぜブラックではなくホワイトに?」と聞いてみたところ、「同じくらいの力量があるなら、人々がより安心して暮らせる世界を作ることに貢献した方がいいだろ?」と即答してくれました。

なぜ企業にとってホワイトハットハッカーが必要なのか

高度なサイバー攻撃を早期発見・対応するためにSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team) を組織する企業が増えてきています。

しかし、それらが本当に正しく機能するかきちんと評価しているところはまだ少ないようです。新たに導入したセキュリティソリューションが機能し、検知したセキュリティインシデントに対応できるチームかを継続的に評価する必要があります。

消防訓練と同じく、日頃の訓練がセキュリティインシデント発生時の対応と運命を左右します。そのため、有事におけるスムーズな対応や適切なエスカレーション、正確な手順書のブラッシュアップなどを忘れてはなりません。

そこで、最近では自組織にサイバー攻撃を疑似的に仕掛け、社内の脆弱性やCSIRTの実力を測る「レッドチーム演習」が注目されています。これは、組織の人(チーム)とネットワーク、アプリケーション、物理的なセキュリティコントロールが実際の敵からの攻撃にどれだけ耐えうるかを測定するために実施する攻撃演習です。

平たく言えば「倫理的ハッキング」であり、組織のセキュリティチームが実際の攻撃に対して、どの程度うまくいくかをテストする方法です。レッドチーム演習を実施するためには、実際の攻撃者と同等かそれ以上のハッキングスキルを保有し、ブラックハットハッカーの考え方や手法を熟知している必要があるため、ホワイトハットハッカーの採用や育成を推進する企業は増加していくはずです。

また、企業だけでなく、政府でもホワイトハットハッカーの発掘や育成をすると発表しました。菅義偉官房長官は今年7月29日の会見で、ハッカーなどの攻撃から政府機関の情報を守る、いわゆる「ホワイトハットハッカー」の育成について、政府一体でしっかりと取り組んでいきたいとの見解を示しています。

一方、2016年に経済産業省が発表したIT人材に関する調査結果の中では、2020年に情報セキュリティ人材が19万3000人不足すると予想されており、ホワイトハットハッカーの育成は待ったなしと言える状況です。

次回はホワイトハットハッカーの資格について説明していきます。